过去二十年来,企业网络发生了巨大的变化。数据和应用程序无处不在,跨越由移动和远程用户访问的多云、本地和遗留基础设施的复杂迷宫。 事实上,一些架构已经变得如此庞大和分散,以至于安全团队无法完全了解使环境面临风险的潜在威胁。传统上,安全团队部署了多种安全工具(平均50-100 个),认为这将为他们提供针对各种威胁的最佳保护。 如果没有对网络流量和用户活动的端到端可见性,使用多种管理工具管理分布式部署将对安全团队的效率产生不利影响。在多种工具之间切换、每天追踪 1000 多个安全警报并希望万无一失,即使是最资深的安全分析师也会感到沮丧。尽管做出了这些努力,攻击者仍然想方设法利用保护漏洞。 当然,安全行业也意识到了这些困扰企业的问题,并产生了XDR(扩展检测和响应)。但 XDR 真的如宣传的那样吗? 什么是 XDR? XDR 提供跨多个安全平台的整合可见性,以提供安全态势的整体视图并为安全操作创建一个简单的起点。它可以对多个数据源进行深入分析,以更少的噪音提供更准确的检测,从而更快、更有效地响应安全威胁。其检测和预防机制包括机器学习和行为分析、上下文分析、威胁狩猎、SOAR 集成等功能。 XDR 是一种更先进的检测和响应方法,因为它超越了端点本身,可以暴露整个安全态势中的复杂威胁。对于遭受技能短缺和资源不足的安全组织来说,它是一个非常有效的工具。有关实际攻击的上下文信息使安全分析师能够理解并快速遏制威胁。 这意味着威胁监控和威胁补救变得有效,因为安全团队可以使用单个平台查看所有威胁数据,该平台将来自多个安全源的事件关联起来。XDR 解决了可见性差距并有助于解决警报疲劳问题,从而缩短检测和响应时间。 XDR 炒作与现实 让我们了解一下 XDR 被过度炒作的一些主要原因。 1. 无缝集成和互操作性是一个遥不可及的现实 从理论上讲,XDR 承诺提供与大多数第三方产品的本机集成。有些人可能推测,期望单一工具能够提供和维护威胁检测和响应功能,并在数十个不同且孤立的安全控制中无缝工作,这是不现实的。开放式 XDR 与封闭式 XDR之间已经存在太多混淆。 2. 对云流量和应用程序的可见性有限 随着云、远程工作和工业物联网 (IIoT) 成为新常态,曾经驻留在本地企业环境中的数据、应用程序和设备突然消失了。即使是最复杂的 XDR 解决方案也会发现获得可见性并理解这种混合流量具有挑战性。跨云和本地组件的可见性和控制的丧失可能会导致上下文丢失,不可避免地在安全状况中留下漏洞。 3. 永远没有足够的资源来调查所有 XDR 警报 安全团队每天已经被数千个警报淹没。想象一下,如果 XDR 从多个来源获取信息,他们会收到多少警报。如果没有自动化、优先级和上下文信息,安全团队可能会分心,从而产生更多漏洞。安全技能差距是真实存在的,永远没有足够的资源来详细调查每个警报。 SASE 是 XDR 的未来吗? 单供应商 SASE是一种将网络和安全技术融合到单个云交付平台中的模型。由于所有流量都流经单个融合平台,因此检测和关联安全事件就不那么麻烦了。从 XDR 的角度来看,这意味着 SASE 在理想情况下将使威胁检测和响应变得更加容易,因为所有安全工具都是同一平台的一部分,因此会使用通用语言。 XDR 的一个关键优势是它如何促进对来自多个数据源的断开连接的安全警报进行深入分析。这使得它能够提供更一致的威胁识别,同时滤除大部分噪音。XDR 通过增强跨网络可见性来检测跨网络和端点的安全威胁,从而增强安全运营。这自然会导致对安全威胁的更快响应并改善整体安全状况。然而,数据质量的差距往往会导致这一论点对于标准 XDR 工具来说不太有效。 这是单供应商 SASE 云可以扩展 XDR 功能的地方。安全团队可以了解单个全球云网络上的所有网络和端点流量,以检测潜在威胁。它捕获单个数据湖中的所有安全事件,轻松关联威胁并确定威胁的优先级,并将它们呈现在单个管理仪表板中。反过来,安全团队可以查看、理解这些威胁并采取行动,以消除组织面临的风险。 这一切都可以通过 SASE 云实现,因为无需集成或标准化即可理解安全数据。这为 XDR 引擎提供了更高质量的数据,从而实现更准确的威胁检测和更快的修复。这就是 SASE 云如何使 XDR 更加有效、降低安全风险。 评估 XDR 时,请根据其降低复杂性以及改进威胁检测和响应时间的能力来考虑其价值。评估其所构建的平台,因为这也会影响其有效性。 北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点 |
|